Nadpisy
...

Bezpečnostní politika v informačních systémech

Nyní má každá osoba nebo organizace informace, že není třeba zveřejňovat, nebo naopak, plánuje se s ní rozloučit co nejdražší. K tomu je nutná bezpečnostní politika. Jedná se o takovou provozní dobu, jejímž úkolem je potlačit nekontrolované šíření údajů, které by veřejnosti neměly být známy. Pracuje na otázkách možné ztráty nebo nepřístupnosti, což v každém případě ovlivní práci. Pokud k tomu ještě dojde, je obvykle stanovena řada opatření k minimalizaci poškození. Bezpečnostní politika je ve skutečnosti soubor pravidel a předpisů týkajících se vybavení a personálu organizace, na které se rovněž vztahuje. Jak by měla být maximalizována jeho účinnost?

Složitost především

bezpečnostní politikaOtázka ochrany informací by měla být plně řešena, ale v první řadě je nutné zablokovat všechny možné kanály ztráty dat. To je nutné, protože použití jednotlivých opatření téměř nezvyšuje bezpečnost celého systému. Podívejme se na příklad. Máme dům. V něm jsme nainstalovali obrněné dveře, ve kterých jsou velmi složité zámky. Ale zároveň jsme nechali okna otevřená! Je náš domov chráněn? Odpověď zní ne. I když stále nebudeme bydlet v jednopatrovém domě, ale ve 125. patře mrakodrapu, mírně zvýšíme bezpečnost. Podobná zásada platí pro ochranu v informačních systémech. Samostatná opatření mohou výrazně zvýšit bezpečnost nebo přinést minimální účinek. V každém případě je nutné přistupovat z hlediska složitosti.

Co je žádoucí dělat?

bezpečnostní politika jeZa účelem zajištění bezpečnosti často vytvářejí plnohodnotný integrovaný systém ochrany informací (CSIS), který je kombinací inženýrských a organizačních opatření, jakož i softwaru a hardwaru. Společně zajišťují normální provoz automatizovaných systémů. Řízení bezpečnostní politiky je žádoucí nejen se spoléhat na výpočetní techniku, ale také na zaměstnance organizace.

Organizační opatření

Je to velmi důležitá a často podceňovaná složka. Pod organizačními opatřeními rozumět vývoji a provádění oficiální politiky týkající se informační bezpečnosti v praxi. To zahrnuje:

  1. Vypracování popisů úkolů, které musí uživatelé a servisní pracovníci dodržovat.
  2. Vývoj administrativních pravidel pro jednotlivé komponenty systému.
  3. Vytvoření akčního plánu pro identifikaci pokusů o neoprávněný přístup.
  4. Vypracování pravidel, která stanoví ustanovení o účetnictví, skladování, reprodukci a zničení důvěrných informačních médií.
  5. Studie otázek identifikace.
  6. Vypracování plánu v případě poruchy ochranného vybavení a výskytu mimořádné situace.
  7. Trénujte všechny uživatele v pravidlech a doporučujte bezpečnost informací a sledujte jejich implementaci.

Problémy při ignorování organizačních opatření

implementace bezpečnostní politikyCo se stane, pokud v této oblasti neprovedete školení? Lidé se pak stávají nejobtížnější součástí obranného systému. Výsledkem ignorování tohoto aspektu je často dokonce nemožnost obnovy informačního systému obecně. Cíle bezpečnostní politiky nebudou vždy dosaženy as velkými problémy. Ale i když existuje záložní kopie dat, bude nějakou dobu trvat, než se znovu vytvoří.Vytváření pokynů navíc usnadní práci v situacích, kdy vše vytvořil jeden zaměstnanec a obnovil nebo vylepšil jiný.

Nejdůležitější aspekt organizačních opatření

rámec bezpečnostní politikyUživatelé by měli být vyškoleni, aby rozpoznali útočníky. Uveďme několik příkladů, které vám ukážou, jak složité jsou:

  1. Zaměstnanec obdrží hovor nebo e-mail od ředitele nebo jiného vedoucího pracovníka, který je požádá o poskytnutí hesla, což jim umožní přístup k databázi, aby otestovali systém, upravili softwarovou komponentu nebo provedli další hodnověrný úkol. Výsledkem bude, že podvodník obdrží možnost jeho odstranění nebo významného zkreslení, což bude mít za následek ztráty.
  2. Zaměstnanec navštěvuje webovou stránku své společnosti, ale je ve skutečnosti falešný. Zadá jeho data. A to je vše - útočník má přístup do systému. Kromě toho, aby si zaměstnanec neuvědomil, že tam není, lze provést přesměrování a automatické povolení na oficiálních webových stránkách.
  3. Zaměstnanec infikovaný útočníkem je propláchnut médiem, na kterém program otevře přístup do databáze, odstraní jej nebo provede nějaké další nepříjemné akce.

A to nejsou všechny možné možnosti, ale pouze některé.

Příprava základu integrovaného informačního bezpečnostního systému

Vypracování bezpečnostní politiky vyžaduje seriózní a inkluzivní přístup. To se provádí ve fázích. Nejprve musíte prozkoumat informační a telekomunikační systém. Analýza její architektury, topologie, komponent, soupis informačních zdrojů. Všichni vlastníci a uživatelé musí být identifikováni a vlastnit příslušnou dokumentaci. V závislosti na důležitosti, různé supi tajemství. Je třeba si uvědomit, že bezpečnostní politika je založena na shromážděných a analyzovaných datech. Čím větší pole informací bude zpracováno, tím lepší bude konečný výsledek.

Definováno s ochranou

vývoj bezpečnostní politikyJe nutné vytvořit model hrozby. V něm je počítačový systém prezentován jako sada služeb. Každá z nich má svou vlastní sadu funkcí, která vám umožní identifikovat mnoho hrozeb. Mezi ně patří:

  1. Ohrožení soukromí. To zahrnuje vše, co souvisí s neoprávněným čtením obsahu;
  2. Ohrožení integrity. Vše, co souvisí s neoprávněnou úpravou nebo způsobuje zničení informací;
  3. Ohrožení dostupnosti. To zahrnuje možnost zneužití informačního systému;
  4. Hrozby pozorování. Zkoumá všechny možnosti problémů s identifikací a zajišťuje kontrolu nad činnostmi uživatelů.

Rámce bezpečnostní politiky musí mít řešení pro každou možnou hrozbu. Zároveň je však třeba dodržovat rozumnou linii. Nemá tedy smysl vymýšlet důvěrnost informací zveřejněných na oficiálních webových stránkách organizace a měla by být přístupná všem, kteří si přejí nápad.

Povaha hrozeb

cíle bezpečnostní politikyJe určeno tím, co působí jako příčina problémů. Existují tři typy:

  1. Přirozený charakter. To zahrnuje přírodní katastrofy, požáry a podobné problémy. Dělají největší fyzické poškození. Je nejobtížnější se proti nim bránit. Pravděpodobnost takové hrozby je však nejnižší. Jako ochrana se používá umístění na různých územích a strukturální vlastnosti budovy (zesílení stěny, protipožární ochrana atd.).
  2. Technický charakter. To zahrnuje nehody, poruchy zařízení, poruchy. Způsobují relativně vysoké škody. Jsou od nich chráněny pomocí mechanismů duplikace dat.
  3. Lidský faktor. Ne vždy se to rozumí úmyslnému zlému úmyslu.To může také zahrnovat chyby v návrhu, provozu, vývoji systémových komponent, nechtěné akce uživatelů. Z čistě technického hlediska představuje netrénovaná úklidová dáma v serverovně neméně ohrožení zařízení než organizovaná a zkušená skupina počítačových crackerů.

Cílem bezpečnostní politiky je předcházet těmto problémům, a pokud k nim došlo, pak implementovat soubor opatření, která minimalizují přijaté škody.

Vlastnosti modelu hrozby

bezpečnostní politika je soubor pravidel a předpisůPři jeho vývoji je třeba mít na paměti, že různé typy informací musí mít odlišný bezpečnostní systém. Pokud jde o veřejná data, která jsou na webových stránkách, můžeme tedy říci, že je nutné dbát na jejich integritu a dostupnost. Protože by je měli vidět všichni, problém ochrany osobních údajů lze ignorovat. Vzhledem k tomu, že data, která cirkulují uvnitř společnosti, musí být chráněna před neoprávněným přístupem. Plná ochrana všeho na nejvyšší úrovni však vyžaduje spoustu síly a zdrojů. Jsou proto určovány nejdůležitějšími údaji, což zajišťuje nejvyšší bezpečnost. A další informace jsou chráněny v souladu s jejich hodnotou.

Model vetřelce

Je postaven na lidech. Identifikuje všechny možné typy porušovatelů a poskytuje jim podrobný popis. Modely se tedy vytvářejí ve vztahu k profesionálním crackerům, nezkušeným žoldákům, obyčejným chuligánům, zaměstnancům podniku. Největší nebezpečí v tomto případě představuje první. Důvodem je skutečnost, že mají nezbytný soubor znalostí a technických prostředků k provádění neoprávněného přístupu. Profesionálové jsou sledováni zaměstnanci podniků, protože mají přístup k informacím a mohou se také seznámit s organizací bezpečnostního systému. To již poskytuje minimální příležitosti k ovlivňování zdrojů. Proto, pokud existuje motivace, mohou zaměstnanci způsobit značné škody (což obecně není neobvyklé). A pokud se k nim útočníci také obracejí, je to obecně smutný příběh.

Dokumentace

bezpečnostní politika je založena naPo dokončení všech předchozích kroků jsou zpracovány všechny potřebné dokumenty, například: „Zásady informační bezpečnosti“, „Zadávací podmínky pro vytvoření CSIS“ a další problémy. Poté je proveden výběr ochrany softwaru a hardwaru a jsou nakonfigurovány jejich vlastnosti. Nakonec se vyvíjí dokumentace k „Technickému projektu pro vytvoření CSIS“. Jakmile je vše připraveno, je již možné začít implementovat vybrané nástroje, opatření a způsoby ochrany informačního systému.

Ovládání

řízení bezpečnostní politikyAle jen vytvoření nestačí. Je také nutné zajistit, aby všechno fungovalo správně a pravidelně sledovat, že tento stav přetrvává. Za tímto účelem se provádí monitorování integrity, vyjasňování požadavků (revize) a analyzuje se stav informačního systému. Pokud mluvíme o administrátorovi odpovědném za bezpečnost, neplatí zde pravidlo „dobrý administrátor je někdo, kdo má schopnost neustále spát“. Informační systém je dynamický objekt, ve kterém se vnitřní a vnější podmínky neustále mění. Podobně struktura organizace není něco trvalého. Mohou být vytvořeny nové strukturální jednotky nebo oddělení, služby (například podpora nebo databáze), nebo dojde k přesunu z jedné místnosti do druhé. Informace, které cirkulují systémem, se také mění. Bezpečnostní politika v informačních systémech by proto měla zohledňovat všechny výše uvedené aspekty a zohledňovat je. Tím nechci říci, že bezpečnost je něco, co se ustálilo. Ne, vzhledem k potřebě neustálého zlepšování a přizpůsobování se výzvám by bylo lepší nazvat jej procesem.

Skóre

Používá se k určení účinnosti.Tento parametr lze určit pomocí speciálních technik. Je to jen to, že provedení takové kontroly samo o sobě je docela obtížné vzhledem k tomu, že tvůrci ochranného systému měli odstranit všechny viditelné nedostatky. Proto je zpravidla tento úkol často svěřen třetí straně. A z jiného místa přistoupí k testu a je velmi pravděpodobné, že si bude moci všimnout slabého místa, které samotní vývojáři vynechali. Ve skutečnosti tito inspektoři fungují jako sušenky, ale již využili všech možných údajů ve formě hotovostních plateb od samotné společnosti. Provádění bezpečnostní politiky je prováděno od takových okamžiků.

Závěr

cíle bezpečnostní politikyMožná malé firmy nedávají smysl rozvíjet vlastní bezpečnostní politiku. Ale pro velké podniky, které plánují provozovat po velmi dlouhou dobu, může být jeho hodnota v určitých časových okamžicích mimořádná. Pokud je bezpečnostní politika vyvinuta na vysoké úrovni, pak zástupci společnosti nemusí vědět, z čeho je chrání. A i když se zdá, že to nedává smysl, je využití této zkušenosti v jakékoli oblasti činnosti nesmírně důležité.


Přidejte komentář
×
×
Opravdu chcete komentář smazat?
Odstranit
×
Důvod stížnosti

Podnikání

Příběhy o úspěchu

Vybavení